王凡林 马倩

[摘 要]根据高新技术企业信息化特点，引入具体方法来识别和评价高新企业的信息化风险，以便帮助企业快速锁定风险并加以治理。风险识别过程是按照信息化建设的规划、分析、设计、实施、维护5个阶段个点展开的。在识别风险的基础上，通过专家评分法和帕累托图累进法对可能存在的风险因子进行评估和筛选，快速查找影响企业信息化风险的典型因素和后果，并给出治理的措施建议。

[关键词]高新技术企业；信息化风险；风险识别；风险评估

doi：10.3969/j.issn.1673 - 0194.2016.06.040

[中图分类号]F276.44 [文献标识码]A [文章编号]1673-0194（2016）06-00-02

网络时代的企业信息化建设对高新技术企业在管理效率、风险管控、市场响应、产品研发等核心竞争力和企业绩效方面产生了前所未有的推动和提升作用，企业通过引入线上办公系统（OA）、企业资源计划系统（ERP）、全面风险管理系统（TBS）等信息化手段提高各部门工作效率，从而有效提高企业的管理水平，通过电子商务平台、分销管理系统等提高其销售贸易能力，实现企业的可持续发展。但随着高新企业信息化程度的快速扩展和IT投入不断增加所带来的风险及隐患也呈上升趋势。如何进一步规避信息化风险，控制信息化损失成为亟待解决的问题。

本文旨在为高新技术企业研究一种信息化风险评价方法。根据高新技术企业的特征，识别高新技术企业在信息化建设过程中存在的风险，运用专家评分法对可能存在的风险因素进行评分排序，并将专家的打分表现在帕累托图中，根据帕累托法则的“二八原则”，找出关键的风险因素。高新技术企业可依据本文提出的方法对其信息化建设过程中的风险进行识别及评价，并据此提出有针对性的管控措施。

1 高新技术企业信息化风险识别

高新技术企业具有高投入、高创新、高收益、高人才拥有、高风险等区别于传统企业的特征，如互联网、电子商务等企业，基于其发展初期往往需要构建一套需要较高人力、资金和技术投入的信息系统，即迈出企业信息化这一步，这是高新企业持续发展的必由之路。

依据生命周期模型和诺兰模型的理论，企业信息化建设过程一般划分为规划、分析、设计、实施和系统运行维护5个既相对独立又密切相关的阶段。借鉴前人的研究思路，本文將从信息化生命周期的上述5个阶段来识别高新企业信息化风险的类型和影响因素，以便更好地实施分析评估。规划阶段风险主要包括IT战略计划风险、资金供给风险、人力资源风险三个方面；分析阶段风险包括开发制度风险、需求分析风险、流程再造风险三个方面；设计阶段在概要和详细设计、设计方案审核两个方面存在风险；实施阶段风险包括软硬件采购风险、系统测试风险、人员培训风险；在运行维护阶段会出现职责分工风险、权限管理风险、备份风险三个方面的风险因素。各阶段的具体风险表现在表1中进行列示。

2 高新技术企业信息化风险评价

高新技术企业信息化风险评估首先通过专家评分对企业的信息化风险进行评价，随后使用帕累托图对各风险因素进行排序，根据帕累托法则的“二八原则”评价出关键的风险因素。

2.1 专家评分法

在识别出高新技术企业信息化风险后，企业应组建专家团队对本企业信息化风险进行具体评价打分。企业应建立专家组对风险进行匿名打分。为保证评估的权威性和客观性，专家团队应由熟悉企业业务流程和功能的信息化建设方面的人员组成，包括有内部专家和外部专家。内部专家至少应该包括公司总经理、各部门负责人、企业信息化建设技术人员，外部专家包括注册信息系统审计师、咨询机构专家等。专家团队人数应当控制在适当的比例范围内，可根据企业信息化规模确定。

组织专家评分主要分为5个步骤。第一，发放资料。应先向评分专家提供企业信息化规划、设计及运行方面的资料，专家应在足够了解企业信息化各方面情况的基础上进行专业判读和评价。第二，专家打分。将评分表发放给选定的的专家，专家团队成员应根据自己的专业知识以及被评价企业信息化建设和运行情况，对每项风险发生的概率、预期损失值进行评价打分，同时在备注中给出治理措施建议。第三，汇总分析。评价企业统一收集整理评分表，计算每位专家针对每一风险因素打分的统计指标，包括平均数、方差、中位数、极值等，并将结果反馈给各位专家，若需修正可二次打分一次。第四，召开讨论会。邀请个人评分与最终汇总分数差异较大的专家发表意见，从专家的个人视角给出合理解释或反驳意见，专家根据反馈结果再修正自己的意见。第五，经过多轮匿名征询和意见反馈，形成最终得分及治理意见集合。

2.2 帕累托排序

高新技术企业的IT风险符合帕累托法则的“二八原则”，即80%的企业风险由20%的风险点引起。通过专家的匿名打分和意见反馈，形成了最终评分结果。高新技术企业需按照专家评分分数高低，运用帕累托图对风险进行排序评价处对企业威胁最大的风险因素。对专家评分的结果进行排序，并绘制帕累托图，则前20%的风险点即为高新技术企业IT风险中的关键风险因素，应进行重点控制和关注。为说明问题，本文在小范围内进行模拟打分，得到如表1所示的数据，据此得到图1所示的对应帕累托直方图，通过要素排序的递进累计，当累计风险达到80%左右时（本文为81.33%），落入考察区间的考察量为X1、X2和X10，说明该3项要素的存在导致了企业绝大部分（80%）风险的后果，因此治理时应抓住主要矛盾，重点对这三项最可能的诱因实施风险治理。

图1 高新技术企业IT风险专家评分帕累托图

3 措施建议

众所周知，信息化在给企业带来高效便利的同时，也夹裹着诸多风险，关键是如何快速识别出致险因素，并在排序中寻找关键风险因素，然后有针对性地制定风险治理方案。高新技术企业是信息化建设的典型代表，运用上述风险识别和评估方法，可以重点防控企业最可能出现重大风险，保证信息化建设和运行顺利。同时企业还应慎重选择信息化时机、节奏和规模，并注重企业中人的作用，适度引入“人机治理模式”，将“人因”与“机因”有机结合起来。

主要参考文献

[1]李志，唐波，张庆林.高新技术企业特征与管理对策研究[J].重庆大学学报，2009（7）.

[2]吴炎太，林斌，孙烨.基于生命周期的信息系统内部控制风险管理研究[J].审计研究，2009（6）.

[3]彭超然.大数据时代下会计信息化的风险因素及防范措施[J].财政研究，2014（4）.

[4]王凡林.企业信息化风险的内部控制与治理研究[M].北京：首都经济贸易大学出版社，2014.

[5]周娟，杜栋.企业信息化水平评价系统的研制[J].河海大学常州分校学报.2004（2）.

[6]蒋忠建.论西部企业信息化建设[J].经济体制改革.2004（3）.

[7]吴瑞鹏，陈国青，郭迅华.中国企业信息化中的关键因素[J].南开管理评论.2004（3）.

[8]彭赓，吕本富.企业信息化水平测评理论模型比较分析[J].科学管理研究. 2004（1）.